Entenda neste artigo como a categorização do MITRE pode ajudar sua empresa a melhorar a segurança e suas capacidades.

 

Antes de tudo: o que é o MITRE?

O MITRE é o acrônimo de Massachusetts Institute of Technology Research & Engineering. Uma instituição financiada pelo governo americano, sem fins lucrativos. O MITRE é o que é comumente conhecido como Think Tank, um centro de produção de conteúdo relevante para a sociedade.

O MITRE ficou conhecido na comunidade de cybersecurity pelo framework, mas o instituto vai além da Cybersecurity e possui inovações nos campos de computação e na área militar. Um famoso exemplo é o sistema de radar dos modernos caças americanos, o AWACS, desenvolvido inteiramente pela MITRE.

 

O que é o MITRE ATT&CK?

O MITRE introduziu o ATT&CK (Adversarial Tatics, Techniques & Common Knowledge) em 2013 como uma forma de descrever e categorizar os comportamentos adversários baseado em observações reais do cenário global. o ATT&CK é uma lista estruturada de comportamentos conhecidos de atacantes que foram compilados em táticas e técnicas, expressados em uma série de matrizes assim como em STIX/TAXII.

Por ser uma representação compreensiva de comportamentos que os atacantes empregam quando estão comprometendo as redes, tornou-se muito útil para mensurar medidas de defesa e ofensivas.

 

O MITRE ATT&CK mudou a forma como profissionais de segurança pensam a segurança 

Vamos fazer uma metáfora com línguas. Sim, os pesquisadores de linguística costumam dizer que as linguagens impactam diretamente o pensamento humano. Podemos traçar aqui um paralelo com a forma como os profissionais de segurança descrevem e compartilham conhecimento para combater as táticas adversárias, técnicas e procedimentos – a linguagem dos ciberataques. Dentro dessa perspectiva, muitos profissionais da indústria vêem a necessidade de uma linguagem comum para descrever as ameaças enfrentadas pelas empresas hoje.

A linguagem usada para descrever essas ameaças modificou de forma significativa a forma como pensamos e determinamos uma abordagem holística na cybersecurity. Nos últimos anos, o framework MITRE ATT&CK se tornou cada vez mais essa linguagem padrão, comum a maior parte dos profissionais de segurança. Ele ganhou influência significativa em como as equipes modernas de segurança descrevem as capacidades de ameaças e consequentemente traduzem isso em ideias de defesa e ação.

Na nossa experiência, tivemos benefícios ao utilizar a linguagem do framework MITRE para trazer inovação e desenvolver nossos serviços de segurança.

 

O que pode efetivamente ser feito usando o ATT&CK?

O framework ATT&CK é valoroso para uma série de configurações. Qualquer atividade de defesa pode se beneficiar de aplicar as diretrizes do framework. Além de oferecer uma linguagem comum para os profissionais, o ATT&CK também fornece a fundação para atividades de pentest e Red Team. Isso dá a ambas as equipes um padrão comum de comunicação ao se falar sobre os comportamentos adversários.

Exemplos de como essa linguagem comum pode ser útil:

Mapear controles defensivos

Controles defensivos podem ser melhor compreendidos quando se referenciam nas táticas do ATT&CK e técnicas que eles aplicam.

Threat Hunting

Mapear as defesas para o framework ATT&CK entrega um roadmap de gaps defensivos que fornecem aos threat hunters ótimos pontos para encontrar atividade não detectada dos atacantes.

Detecções e Investigações

O SOC e equipes de resposta podem usar o ATT&CK para referenciar técnicas e táticas que foram detectadas. Isso auxilia no entendimento onde estão as forças defensivas e as fraquezas, além de validar a mitigação e controles de detecção. Pode também descobrir problemas de configuração e outras questões operacionais.

Referenciamento de partes envolvidas

As partes envolvidas e grupos podem ser referenciados com comportamentos definíveis. Auxiliando no entendimento geral.

Integração de Ferramentas

Ferramentas diferentes e serviços podem encontrar um padrão de táticas e técnicas no MITRE, levando a uma maior coesão da defesa.

Compartilhamento

Quando informação sobre um ataque é compartilhada, um grupo ou parte envolvida pode garantir o entendimento comum ao referenciar o framework.

Red Team/Pentest

Planejamento, execução e relatórios do red team e atividades de pentest podem usar o framework para falar uma linguagem comum, em que os defensores e atacantes podem se entender.

 

Use o ATT&CK para mapear Defesas e compreender os gaps

A inclinação natural das equipes de segurança ao observar o framework é tentar desenvolver algum tipo de controle de detecção ou prevenção para cada técnica presente nas matrizes do ATT&CK. Essa não é uma ideia ruim, mas as nuances do framework tornam essa abordagem um pouco perigosa se alguns pontos não forem levados em consideração.

As técnicas descritas no framework podem muitas vezes ser aplicadas de diferentes formas. Então bloquear uma única forma dessa técnica ser realizada não significa que você está protegido. Isso pode levar a um falso senso de segurança.

Uma forma de evitar isso é:

  • Sempre assuma que existe mais de uma forma de executar uma técnica do ATT&CK
  • Pesquise e teste formas conhecidas dessas técnicas e meça a efetividade das ferramentas e visibilidade
  • De forma cuidadosa armazene o log dos resultados dos testes para apontar onde estão os gaps para cada técnica e de quais formas empregar essa técnica pode ser prevenido ou detectado
  • Veja quais ferramentas se provam eficientes para detecções específicas e onde estão os gaps sem nenhuma cobertura
  • Se mantenha atualizado com as novas formas de realizar uma técnica e teste-as contra o ambiente para garantir cobertura de defesa.